ICND2_Vol2_RUS

Когда следует использовать динамические списки контроля доступа

Некоторые из причин, по которым следует внедрить динамический список контроля доступа, приводятся ниже.

Используйте динамический список контроля доступа, если необходимо, чтобы удаленный пользователь или группа пользователей получили доступ к сети с удаленных хостов через Интернет. Динамический список доступа аутентифицирует

пользователей и разрешает ограниченный доступ через брандмауэр-маршрутизатор к хосту или подсети в течение определенного периода времени.

Используйте динамический список контроля доступа, если необходимо, чтобы подмножество хостов локальной сети получило доступ к хосту в удаленной сети, защищенной брандмауэром. Динамический список доступа позволяет разрешить доступ к удаленному хосту только заданному набору локальных хостов. Динамический список доступа требует аутентификацию через сервер TACACS+ или другой сервер безопасности для предоставления доступа локальных хостов к удаленным хостам.

Преимущества динамических списков контроля доступа

Динамические списки контроля доступа предлагают следующие преимущества для системы безопасности по сравнению со стандартными и статическими расширенными списками:

использование механизма отклика для аутентификации отдельных пользователей;

упрощенное управление в крупных интерсетях;

во многих случая обеспечивает понижение объема вычислений на маршрутизаторе, который нуждаются в списке контроля доступа;

снижение вероятности взлома сети хакерами;

динамический доступ пользователя через брандмауэр, не подвергающий риску другие ограничения безопасности.

Пример динамического списка контроля доступа

Хотя полная конфигурация динамического списка контроля доступа не рассматривается в этом курсе, в примере ниже описываются основные действия для настройки такого списка контроля доступа.

Следующая конфигурация создает имя пользователя и пароль для аутентификации. Время бездействия установлено на 10 минут.

RouterX(config)#username test password 0 test

RouterX(config)#username test autocommand access-enable host timeout 10

Следующая конфигурация позволяет пользователям открыть сеанс Telnet

с маршрутизатором для аутентификации и блокирует весь остальной трафик.

RouterX(config)#access-list 101 permit tcp any host 10.1.1.1 eq telnet

RouterX(config)#interface Ethernet0/0

RouterX(config-if)#ip address 10.1.1.1 255.255.255.0

RouterX(config-if)#ip access-group 101 in

Следующая конфигурация создает динамический список контроля доступа, который будет автоматически применяться к существующему списку access-list 101. Задано абсолютное время ожидания 15 минут.

RouterX(config)#access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Следующая конфигурация включает аутентификацию пользователей, пытающихся открыть сеанс Telnet с маршрутизатором.

RouterX(config)#line vty 0 4

RouterX(config-line)#login local

После создания этой конфигурации, если пользователь 10.1.1.2 успешно создает сеанс Telnet с интерфейсом 10.1.1.1, применяется динамический список доступа. Затем сеанс сбрасывается и пользователь получает доступ к сети 172.16.1.x.

Рефлексивные списки контроля доступа

Рефлексивные списки контроля доступа: Разрешают исходящий трафик и ограничивают входящий в зависимости от сеансов, открытые из внутренней сети маршрутизатора

Рефлексивные списки контроля доступа

Рефлексивные списки контроля доступа обеспечивают фильтрацию IP-пакетов

всоответствии с данными сеанса верхнего уровня. Они используются для разрешения исходящего трафика и ограничения входящего трафика в зависимости от сеансов, созданных из внутренней сети маршрутизатора. Рефлексивные списки контроля доступа создают только временные записи. Эти записи автоматически генерируются при запуске нового сеанса IP, например исходящим пакетом. Записи автоматически удаляются

вконце сеанса. Рефлексивные списки контроля доступа не применяются напрямую

к интерфейсу, но вносятся в расширенный именованный список контроля доступа, который активируется на интерфейсе.

Рефлексивные списки контроля доступа предлагают более «истинную» форму фильтрации сеансов, чем расширенный список контроля доступа с параметром established. Рефлексивные списки контроля доступа гораздо сложнее обмануть, так как перед принятием пакета необходимо обеспечить соответствия большему числу критериев. Проверяются не только биты подтверждения (ACK) и сброса (RST), но и адреса источника и назначения, а также номера портов.

Преимущества рефлексивных списков контроля доступа

Рефлексивные списки контроля доступа являются важным элементом защиты сети от хакеров и могут быть добавлены в брандмауэры. Рефлексивные списки контроля доступа добавляют уровень защиты от подделки пакетов и DoS-атак. Они просты в использовании и предлагают больше гибкости и контроля над пакетами, по сравнению с обычными списками контроля доступа.

Пример рефлексивного списка контроля доступа

Хотя полная конфигурация рефлексивного списка контроля доступа не рассматривается в этом курсе, в примере ниже описываются основные действия для настройки такого списка контроля доступа. Пример рефлексивного списка контроля доступа разрешает входящий и исходящий трафик ICMP и пропускает только трафик TCP, отправленный изнутри. Весь остальной трафик отклоняется.

Следующая конфигурация заставляет маршрутизатор отслеживать трафик, инициированный изнутри.

RouterX(config)#ip access-list extended outboundfilters

RouterX(config-ext-nacl)#permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

RouterX(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

Следующая конфигурация создает политику, которая требует, чтобы маршрутизатор проверял весь входящий трафик, чтобы определить, был ли он инициирован изнутри и привязывает рефлексивную часть списка контроля доступа outboundfilters (которая называется tcptraffic) к списку контроля доступа inboundfilters.

RouterX(config)#ip access-list extended inboundfilters

RouterX(config-ext-nacl)#permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluate tcptraffic

Следующая конфигурация применяет входящий и исходящий список контроля доступа к интерфейсу.

RouterX(config)#interface Ethernet0/1

RouterX(config-if)#ip address 172.16.1.2 255.255.255.0

RouterX(config-if)#ip access-group inboundfilters in

RouterX(config-if)#ip access-group outboundfilters out

Рефлексивные списки контроля доступа могут быть заданы только как расширенные именованные списки контроля доступа протокола IP. Их нельзя задать как нумерованные или стандартные списки доступа протокола IP или как списки доступа другого протокола. Рефлексивные списки контроля доступа можно использовать с другими стандартными и статическими расширенными списками контроля доступа.

Временные списки контроля доступа

Временные списки контроля доступа: Обеспечивают контроль доступа по времени дня или недели

Временные списки контроля доступа

Временные списки контроля доступа аналогичны расширенным спискам, но они поддерживают контроль доступа в зависимости от времени. Чтобы внедрить временные списки контроля доступа, необходимо задать временной диапазон для каждого дня и недели. Временной диапазон идентифицируется именем, на которое ссылается утверждение. Поэтому временные ограничения применяются к самому утверждению.

Преимущества временных списков контроля доступа

Временные списки контроля доступа предлагают много преимуществ.

Администратор сети имеет больше контроля над разрешением и запрещением доступа пользователей к ресурсам. В числе таких ресурсов могут быть: приложение, идентифицируемое IP-адресом, парой масок и номером порта, маршрутизация на основе политик или установление канала по требованию, при идентификации интересного трафика, направленного к абоненту.

Администраторы сети могут задать политики безопасности в зависимости от времени:

—безопасность периметра с использованием набора функций Cisco IOS Firewall или списков контроля доступа;

—конфиденциальность на основе Cisco Encryption Technology или IP Security (IPsec).

Функции маршрутизации на основе политик и очередование усовершенствованы.

Если частота обращения к ресурсам провайдера меняется в зависимости от времени суток, администраторы могут обеспечить экономичную автоматическую маршрутизацию трафика.

Поставщики услуг могут динамически изменять выделенную полосу пропускания (CAR – Committed Access Rate) для поддержки соглашений (SLA – Service Level

Agreement) о уровне обслуживания QoS, которые пересматриваются в определенное время суток.

Администраторы сети могут контролировать сообщения журналов. Записи списков контроля доступа могут создавать записи в журнал трафика в определенное время суток, но не круглосуточно. Поэтому администраторы могут просто запретить доступ, не анализируя журналы, созданные в пиковые часы.

Пример временного списка контроля доступа

Хотя полная конфигурация временного списка контроля доступа не рассматривается в этом курсе, в примере ниже описываются основные действия для настройки такого

списка контроля доступа. В этом примере запуск сеансов Telnet разрешен из внутренней сети во внешние сети по понедельникам, средам и пятницам.

Конфигурация ниже определяет временной диапазон списка контроля доступа и назначает ему имя.

RouterX(config)#time-range EVERYOTHERDAY

RouterX(config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00

Следующая конфигурация применяет временной диапазон к списку контроля доступа.

RouterX(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time-range EVERYOTHERDAY

Следующая конфигурация применяет список контроля доступа к интерфейсу.

RouterX(config)#interface Ethernet0/0

RouterX(config-if)#ip address 10.1.1.1 255.255.255.0

RouterX(config-if)#ip access-group 101 in

Временной диапазон зависит от системных часов маршрутизатора. Можно использовать часы маршрутизатора, однако эта функция лучше всего работает при настроенной синхронизации NTP.

Шаблонные маски списков контроля доступа

В этом разделе описывается использование шаблонных масок со списками контроля доступа.

Шаблонные биты: как выполняется проверка соответствующих битов адреса

0 означает проверку соответствующего бита адреса

1 означает игнорирование соответствующего бита адреса

Фильтрация адресов выполняется с помощью шаблонных масок адресов для списков контроля доступа, которые проверяют или игнорируют соответствующие биты IPадреса. Шаблонные маски для битов IP-адреса используют числа 1 и 0, чтобы определить, как обрабатывать соответствующие биты.

Бит 0 шаблонной маски: значение соответствующего бита адреса должно совпадать.

Бит 1 шаблонной маски: значение соответствующего бита адреса не проверяется (игнорируется).

Примечание Иногда шаблонную маску называют обратной маской.

Точная настройка шаблонных масок позволит разрешить или отклонить проверку с помощью одной инструкции списка контроля доступа. Вы можете выбрать любой идентификатор или IP-адрес.

На рисунке показано, как задать соответствующие биты адреса.

Примечание Шаблонные маски для списков контроля доступа работают не так, как маски IP-подсетей. Нулевой бит в маске списка контроля доступа указывает, что соответствующие биты адресов должны совпадать. Бит «1» в маске списка контроля доступа указывает, что соответствующие биты адресов могут быть проигнорированы.

Шаблонные биты для сопоставления IP-подсетей

Сопоставление IP-подсетей от 172.30.16.0/24 до 172.30.31.0/24.

Адрес и шаблонная маска: 172.30.16.0 0.0.15.255

Пример: процесс создания шаблонной маски для IP-подсетей

В примере на рисунке администратор хочет протестировать диапазон IP-подсетей, которые должны быть приняты или отклонены. Предположим, что в качестве IP-адреса используется адрес класса B (первые два октета выделены под номер сети), для подсетей используется 8 бит (третий октет). Администратор хочет использовать биты шаблонной маски IP для сопоставления подсетей от 172.30.16.0/24 до 172.30.31.0/24.

Чтобы сопоставить диапазон подсетей с помощью одной инструкции списка контроля, введите IP-адрес 172.30.16.0 (первая подсеть), а затем нужную маску подсети.

Сначала маска подсети сопоставит первые два октета (172.30) IP-адреса с помощью соответствующих нулевых бит в первых двух октетах маски.

Поскольку номер хоста неважен, шаблонная маска игнорирует последний октет (бит «1» в маске подсети). Последний октет шаблонной маски в десятичном выражении будет 255.

Втретьем октете с адресом подсети десятичное выражение маски составит 15 (двоичное – 00001111). Маска сопоставляет 4 старших бита IP-адреса. В нашем случае шаблонная маска будет соответствовать подсетям, начиная с 172.30.16.0/24. Последние (младшие) 4 бита в октете игнорируются маской подсети. Значение этих бит может быть двоичным числом 0 или 1. Поэтому шаблонная маска соответствует подсетям 16, 17, 18 и так далее до подсети 31. Шаблонная маска не соответствует другим подсетям.

Вэтом примере адрес 172.30.16.0 с маской подсети 0.0.15.255 соответствует подсетям от 172.30.16.0/24 до 172.30.31.0/24.

Внекоторых случая для обеспечения соответствия диапазона подсетей может потребоваться несколько инструкций списка контроля доступа, например для диапазона 10.1.4.0/24 – 10.1.8.0/24 следует использовать инструкции 10.1.4.0 0.0.3.255 и 10.1.8.0 0.0.0.255.

Сокращения шаблонной маски

172.30.16.29 0.0.0.0 сопоставляет все биты адреса

Шаблонную маску подсети можно сократить, указав ключевое слово host перед IP-адресом (host 172.30.16.29)

0.0.0.0 255.255.255.255 игнорирует все биты адреса

Это выражение можно сократить с помощью ключевого слова any

Биты 0 и 1 в шаблонной маске списка контроля доступа заставляют список контроля доступа проверять или игнорировать соответствующий бит в IP-адресе. Работа с десятичными представлениями двоичной шаблонной маски может быть трудоемкой. В распространенных сценариях вместо шаблонных масок можно использовать сокращения. Сокращения позволяют уменьшить количество чисел, которое необходимо ввести при настройке условий проверки адреса.

Пример: Шаблонные маски для одного IP-адреса

В этом примере вместо инструкции 172.30.16.29 0.0.0.0 можно ввести строку host 172.30.16.29. Сокращение host передает аналогичное условие проверки в список контроля доступа ПО Cisco IOS.

Пример: Шаблонные маски для всех IP-адресов

В этом примере вместо инструкции 0.0.0.0 255.255.255.255 можно указать ключевое слово any. Сокращение any передает аналогичное условие проверки в список контроля доступа ПО Cisco IOS.

Резюме

В этом разделе приводится резюме основных вопросов, рассмотренных на занятии.

Резюме

Списки контроля доступа можно использовать для фильтрации IP-пакетов или идентификации трафика для особой обработки.

Списки контроля доступа обрабатывают пакеты сверху вниз

имогут быть настроены для входящего или исходящего трафика.

Список контроля доступа может быть нумерованным или именованным. Именованные и нумерованные списки контроля доступа могут быть стандартными или расширенными.

От этого зависит, какой трафик они могут фильтровать.

Рефлексивные, динамические и временные списки контроля доступа добавляют дополнительные возможности стандартным

ирасширенным спискам контроля доступа.

В шаблонной маске бит 0 обозначает совпадение соответствующего бита адреса, и бит 1 означает игнорирование соответствующего бита.